我正在尝试设置Windowsnetworking策略服务器以允许使用单向信任的多森林scheme进行RADIUS身份validation。 我们有几个包含用户账号的域(每个域都包含一个域),还有一个包含服务器和服务的域“OPS”。 老年退休金计划信任其他领域,但他们不相信老年退休金计划。
我已经为NPSconfiguration了一个策略,该策略在用户位于OPS域中的特定组时授予访问权限。 这适用于域本地用户,如OPS\carlpett ,但是当我尝试从另一个域如EXTAD\john.doe使用一个帐户,我得到一个错误与事件ID 4402和描述
域EXTAD没有可用的域控制器。
信息事件6274也logging了被拒绝的请求的细节,其中原因被设置为
NPS服务器由于硬件资源不足或无法接收域控制器的名称而不可用,这可能是由于本地计算机上的安全帐户pipe理器(SAM)数据库故障或NT目录服务(NTDS)故障。
但是,我可以联系EXTAD的几个域控制器。 我已经尝试了Test-NetConnection -Port 389 dc01.extad.domain.com和微软PortQry工具,它进行了大量的连接testing。
当使用域本地帐户时,会logging下来:
与OPS域控制器ad01.ops.domain.netbuild立LDAP连接。
这似乎表明只需要LDAP? 在尝试使用外部帐户时检查打开的TCP连接,我可以看到端口389上的已build立连接到其域中的域控制器。
任何想法什么尝试? 我已经看到了一些将NPS服务器添加到“RAS和IAS服务器”组的build议,但这似乎需要双向信任。
是的,来自Technet :
当两个森林只包含由运行Windows Server 2008,Windows Server 2003,Standard Edition的域控制器组成的域时,NPS支持在没有RADIUS代理的情况下通过林进行身份validation; Windows Server 2003企业版; 和Windows Server 2003 Datacenter Edition。 森林function级别必须是Windows Server 2008或Windows Server 2003, 森林之间必须存在双向信任关系 。 如果使用带有证书的EAP-TLS或PEAP-TLS作为身份validation方法,则必须使用RADIUS代理跨包含Windows Server 2008和Windows Server 2003域的林进行身份validation。
我得到了上面的selectauthentication信任。 创build一个将保存您的NPS服务器的全局组,并确保该组具有在用户域中的域控制器上的计算机帐户上设置的“ 允许进行身份validation ”权限。
这是NPS对受信任林中的用户进行身份validation所需的最严格的设置,否则您需要在用户域中设置RADIUS代理服务器和NPS服务器。